自動化事件回應
若要將安全工程和操作功能自動化,您可以使用 AWS 提供的完整 API 和工具集。您可以完全自動執行身分管理、網路安全、資料保護和監控功能。建置安全自動化後,您的系統可以監控、檢閱和啟動回應,而不是讓人員監控您的安全狀態並手動回應事件。
若您的事件回應團隊持續以相同方式回應警示,可能會形成警示疲勞的風險。隨著時間的推移,團隊可能會變得對收到提醒不敏感,而且在處理一般情況時可能會犯錯,或是錯過不尋常的警示。自動化使用能夠處理重複和一般提醒的功能,讓人員處理敏感和獨特的事件,有助於避免發生提醒疲倦的情形。
您可以透過程式設計方式將程序中的步驟自動化,以改善手動程序。定義事件的補救模式之後,您可以將該模式分解為可行的邏輯,並撰寫程式碼來執行該邏輯。回應人員接著可以執行該程式碼來修正問題。隨著時間的推移,您可以將越來越多的步驟自動化,最終自動處理整個類別的常見事件。
但是,您的目標應該是進一步縮短偵測機制和回應機制之間的時間差距。在過去,這個時間差距可能高達數小時、數天甚至數個月。SANS 在 2016 年進行的事件回應調查
